| Artículos | 01 ABR 2002

Propuesto un estándar para la notificación de fallos de seguridad

Tags: Histórico
Dos investigadores en seguridad informática han propuesto unas normas para estandarizar el proceso en el que se informa de los fallos de seguridad y el modo en que se arreglan.
Steve Christey, ingeniero jefe de seguridad informática de Mitre, y Chris Wysopal, director de investigación y desarrollo de la firma de seguridad digital @Stake, han enviado al IETF (Internet Engineering Task Force) una propuesta en la que se perfilan las formas estándares en que los fabricantes e investigadores deben divulgar los fallos de seguridad. Según estos expertos, es necesario fijar una normativa para codificar las reglas no escritas que sólo conoce la comunidad de expertos en seguridad, por las que se divulgan los fallos, de forma que toda la industria conozca y comprenda dichas normas. Christey y Wysopal están ahora a la espera de comentarios a su propuesta, denominada Responsible Vulnerability Disclosure Process (Proceso responsable de divulgación de vulnerabilidades).
Actualmente no hay acuerdo en cuanto a la forma en que se deben dar a conocer las vulnerabilidades del software. Fabricantes y expertos de seguridad tienen a menudo políticas opuestas al respecto: los fabricantes dicen que se les debe dar tiempo suficiente para arreglar un fallo antes de que sea desvelado, para no alertar a los hackers del fallo; los investigadores quieren que los usuarios tengan la información lo antes posible para presionar a los fabricantes en el desarrollo del correspondiente parche.

www.ietf.org

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información